利用好日志 轻松搞定企业网络故障

每当网络遭遇到重大问题,却不能及时判断出网络故障点时候,这会使网络管理员感到问题刺手。在他们出手无策的时候,经常采取的方式,请求设备厂家来做技术支持,而厂家工程师却很快找到故障点,并提供相关的故障处理方案。他们怎么能够精确判断出网络故障点呢?何况他们又不在故障的现场,仅仅靠把故障现象复诉,不可能正确地判断?这也正是我们需要关注的问题——设备日志,网络管理人员经常忽略的角落。

日志的重要性

我们知道日志是网络管理员的帮手。充分利用日志功能,可以大大的降低网络管理人员的工作量,日志不是操作系统的系统日志。一些网络管理人员也会为低下员工的知情不报所烦恼。网络管理人员虽然不会到那边去调试配置网络设备,但是,仍然必须要对网络设备的运行信息有所了解。当发生错误现象,网络管理人员能够预先知道征兆,也是解决网络故障根本依据。

可见,日志能给我们的工作提供很大保障。随着网络不断扩大,设备数量不断地增加,不可能对所管理区域定期登陆到设备上察看日志信息,就不可能提前知道问题存在?网络管理人员若不能够及时的知道设备的运行状况,我们就不能够及时的采取相应的措施。如果别人试图利用VPN服务器非法访问企业内部的网络,这些都会在日志上留下痕迹。网络管理人员若不能够从日志上得知这些信息的话,则就不能够采取相关的措施,来预防下次的攻击。

 

如何利用认识日志、利用日志

事实上,在很多案例中可以发现,一个企业的网络管理员每天有接近一半的时间被花费在处理信息上面,而这可能只是例行的日志阅读工作,他们往往还需要抽出一些时间(甚至加班)来对这些信息进行深入的分析,以发现系统中的不合理或不安全

要想利用好日志,必须要了解日志、认识日志,更要熟悉日志结构,这样才能很快就能提取所需相关信息,来处理相关的网络故障。网络设备毕竟不是人脑,对日志的描述不是很生动。为了让网络设备自己收集运行状态信息,往往会给其设置固定的格式。一般来说,同一个品牌的产品,虽然其产品类型不同,但是,其格式往往是固定的。日志信息都有其固定的开头符号。在产品中,一般都是以%开头。参数PIX表示设备消息的功能代码,即这条日志消息对应的是设备中一种功能,如是访问控制列表发出的,还是VPN服务器发出的。参数-level表示日志消息级别的严重性,这个数字越小说明日志所反映的信息越严重。参数-Message-Number表示这个信息所对应的唯一数字标号。一般我们在遇到难以解决的问题时,可以利用这个数字编号去网络上寻求帮助。而参数Message-Text,则是对情况的一般性描述。有时候,这个描述中,会显示IP地址、端口以及用户名等有用信息。 把一些网络设备日志的固定格式做成了小卡片。当有需要的时候,可以及时拿过来看。不过当你看多了,就自然而然会熟悉这个格式。这在刚开始接触一个牌子的设备的时候,非常有用。例如:前段时间,我们网络经常出现有丢包现象,把所有怀疑的故障点都逐步排除,故障现象依然存在。发生的丢包现象,不是整个网络,而是部分vlan内用户有问题,也不是经常,在一个时间段内网络正常,有间断性。后来发现交换机有这样一条告警信息:

An alarm 512 level 4 cleared at 16:01:26 05/23/2008 UTC sent by MCP %PORT% Interface up on fei_1/15

从这个告警信息上看,级别为4,发生在fei_1/15接口,端口上有漂移现象,当出现这种告警时,就会出现一段时间丢包现象,说明该接口下网络有故障。

 

日志管理

日志管理其实很简单,确定日志的显示位置、选择自己需要查看的日志信息、系统日志的显示格式。我们知道日志管理的第一步,就是希望日志能够发送到网络管理人员指定的地方。如此的话,网络管理人员就不需要跑到每个设备那里去查看日志信息。可以在一个统一的平台上查看数十台设备的日志信息。

通常应用日志源、日志事件类型、重要程度等几个基本的维度是可以构建有效的日志分类体系的,过多的维度会使得日志信息难于管理,那样做的话管理员必须在处理大量信息的同时兼顾更多的关于分类的信息。一般来说,系统日志会记录很多内容。其中包括一些正常的信息。如有哪个用户访问了哪个网站等等。但是,作为网络管理员并不需要关注所有的信息。所以,我们也希望,各个网络设备能够对日志信息进行过滤,只发送一些关系到系统正常运行的日志信息。而不是“大事不汇报,小事天天报”。为此,我们可以通过系统日志的级别来进行控制。采用日志级别来对是否需要发送日志进行控制。不同的严重性级别被附加于日志信息上。当级别达到某个程度的时候,网络设备就需要把这个日志信息发送到笔者制定的SNMP管理平台上。

总结

可见日志系统承担着整个信息基础设施中感觉器官的作用,一个完善的、工作良好的体系需要在正确的地点部署日志采集工具,这些日志信息被汇总之后体现了整个设施的全貌。一个小小日志能为网络管理员提供更可靠信息,同时也为网络运行提供可靠保障。